Ensure storage for critical data are encrypted with Customer Managed Key
Neden Önemlidir
Azure Storage, varsayılan olarak Microsoft tarafından yönetilen anahtarlarla tüm bekleyen verileri otomatik olarak şifreler. Ancak hassas veya düzenlemeye tabi veriler işleyen kuruluşlar, uyumluluk zorunluluklarını veya iç güvenlik politikalarını karşılamak için genellikle şifreleme anahtarları üzerinde ayrıntılı kontrole ihtiyaç duyar. Müşteri tarafından yönetilen anahtarları (CMK) kullanmak, anahtar yaşam döngüsü, erişim ve döndürme üzerinde tam yetki sağlayarak Microsoft'un anahtar yönetiminin tehlikeye girmesi durumunda yetkisiz veri erişimi riskini azaltır.
Aether365'in Kontrol Ettiği
Aether365, kritik veriler için kullanılan her Azure Storage hesabının varsayılan Microsoft tarafından yönetilen anahtar yerine müşteri tarafından yönetilen bir anahtarla şifrelenip şifrelenmediğini doğrular. Bu kontrol, Aether365 panonuzda azure-storage-accounts kategorisi altında görünür.
Nasıl Düzeltilir
- Azure Portal'da oturum açın ve Storage Accounts (Depolama Hesapları) bölümüne gidin.
- Müşteri tarafından yönetilen anahtar şifrelemesi gerektiren her depolama hesabını seçin.
- Sol menüde, Security + networking (Güvenlik + ağ) altındaki Encryption (Şifreleme) bölümüne gidin.
- Encryption type (Şifreleme türü) için Customer-managed keys (Müşteri tarafından yönetilen anahtarlar) seçeneğini belirleyin.
- Bir Azure Key Vault anahtarı seçin veya oluşturun, ardından anahtar URI'sini yapılandırın ve isteğe bağlı olarak otomatik anahtar sürümü döndürmeyi ayarlayın.
- Yapılandırmayı uygulamak için Save (Kaydet) butonuna tıklayın.
Uyumluluk
- CIS Microsoft Azure Foundations 3.0.0: Bölüm 4.11 (Seviye 2)
- Microsoft Security Benchmark: Veri Koruma kontrolü DP-1
- EIDSCA (uygulanabilir durumlarda): Depolama hesapları için şifreleme anahtarı kontrolünü sağlayın
İlgili Kaynaklar
- Azure Storage encryption for data at rest
- Azure data encryption best practices
- Azure Storage encryption versus disk encryption
- Data protection controls in Azure